教学相長：ＩＳＭＳ／情報セキュリティ

　（財）日本情報処理開発協会（JIPDEC)から、内部統制報告制度に伴うＩＴ統制の状況について調査した結果が公表されました。
　http://www.jipdec.jp/chosa/it_riyou/gaiyo.html

　内部統制報告制度とは、会計処理に関する不祥事を防止を目的に、日本版ＳＯＸ法（金融商品取引法の一部）に基づき、内部統制の評価に関する報告書の提出が義務付けらるものです。
　また、内部統制とは、簡単に言えば、財務報告報告の信頼性や事業活動にかかわる法令の遵守などを保証するための仕組みですが、ＩＴ活用の浸透に伴い、ＩＴ利用に関する統制（ＩＴ統制）への対応も重要な要素となっています。

　「IT統制に関する実態調査」は、昨年10月〜12月の間に、上場企業の情報システム部長にアンケートを実施して、そのＩＴ統制の取り組みの実態を調査したものです。
　本制度は、本年4月1日以後に開始する事業年度から適用されるものですが、内部統制の構築と評価への対応の進捗状況は、一部着手から殆ど未着手の企業が半数以上もあり、果たして、どれほど信頼性ある評価がなされるかが心配なところです。

　また、ＩＴ統制においては、情報セキュリティへの取り組みも避けては通れません。

　独立行政法人 情報処理推進機構（ＩＰＡ）は、ウェブサイト開発者・運営者が適切なセキュリティを考慮した実装ができるようにするための資料として、「安全なウェブサイトの作り方改訂第3 版」を2008 年3 月6 日（木）より、ＩＰＡセキュリティセンターのウェブサイト上で公開しました。
　http://www.ipa.go.jp/security/vuln/websecurity.html

　ＩＰＡが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするための資料だそうです。
　図など用いて説明してあり、これから学ぶ人向けかな？と思いましたが、結構、専門的な内容でした。

　財団法人日本情報処理開発協会（JIPDEC)より、「経済産業分野の事業者における個人情報の保護に関する取組み実態調査2008」の報告書が公開されました。
　http://privacymark.jp/news/20080304/index.html

　調査は、JIPDECプライバシーマーク推進センターのホームページ上のアンケートによるもので、回答者の約65％がプライバシーマーク認定事業者、もしくは、認定に向けた検討・準備中・申請中事業者であることを前提として読む必用があります。

　個人情報保護に関する方針（プライバシーポリシー）を策定し公表しているとする回答者は91.0%となっています。今日、Webサイト上で個人情報保護方針やプライバシーポリシーを宣言することは常識化しつつあります。

　個人情報保護の社内規程類の整備して運用しているは、87.9%、個人情報の管理に関する組織体制として、個人情報保護管理者を設置しているは、78.3%となっており、JIPDECプライバシーマーク推進センターのホームページ上のアンケートに答える事業者は、やはり、相応の取り組みを実施しているようです。

　個人的にちょっと目に付いたデータは・・・・

　総務省より、平成１９年１月１日から１２月３１日までの不正アクセス行為の発生状況が公表されました。
http://www.soumu.go.jp/s-news/2008/080229_6.html

　不正アクセス行為の認知件数は、昨年H18年の946件に比べて、H19年は1,818件と倍増しています。
　不正アクセス行為による所業としては、インターネット・オークションの不正操作（他人になりすましての出品等）が最も多く（1,347件：全体の７割強）、その多くが、フィッシングサイトによって不正に入手したID・パスワードを利用したもののようです。

　電子メールによりホームページへの誘導に注意し、また、ＩＤパスワードの定期的に変更など心がけて、被害者になれないようご注意ください。